編輯 IAM 政策

政策為一個實體，可定義其所連接的身分或資源的許可。政策會以 JSON 文件 AWS 形式存放在 中，並以身分型政策的形式連接到 IAM 中的委託人。您可以將以身分為基礎的政策連接到主體 (或身分)，例如 IAM 使用者群組、使用者或角色。身分型政策包括 AWS 受管政策、客戶受管政策和內嵌政策。您可以在 IAM.managed 政策中編輯客戶 AWS 受管政策和內嵌政策無法編輯。 AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊，請參閱IAM AWS STS 和配額。

一般而言，最好使用客戶受管政策，而不是內嵌政策或 AWS 受管政策。 AWS 受管政策通常提供廣泛的管理或唯讀許可。內嵌政策無法在其他身分上重複使用，或在其存在的身分之外進行管理。為了達到最高安全性，應授予最低權限，這表示僅授予執行特定任務工作所需的許可。

當您建立或編輯 IAM 政策時， AWS 可以自動執行政策驗證，以協助您建立最低權限的有效政策。在 中 AWS 管理主控台，IAM 識別 JSON 語法錯誤，而 IAM Access Analyzer 提供額外的政策檢查與建議，以協助您進一步精簡政策。若要進一步了解政策驗證的資訊，請參閱 IAM 政策驗證。若要進一步了解 IAM Access Analyzer 政策檢查和可動作的建議，請參閱 IAM Access Analyzer 政策驗證。

您可以使用 AWS CLI AWS 管理主控台或 AWS API 在 IAM 中編輯客戶受管政策和內嵌政策。如需使用 CloudFormation 範本新增或更新政策的詳細資訊，請參閱CloudFormation 《 使用者指南》中的AWS Identity and Access Management 資源類型參考。